非管理者権限でサーバー機能をインストール
シン・テレワークシステムを使いたおす(12)
前回はWindows ServerのIISをつかってポリシー規制サーバーを立ち上げる方法を解説しました。
今回は視点を変えて管理者権限の使えないクライアントPCにシン・テレワークシステムサーバーをインストールする方法と制限について解説します。
管理者権限でインストールするか、一般ユーザー権限でインストールするかによって使える機能に違いが出てきて困ったので備忘録も兼ねてます。
インストール方法
まずはいつも通り公式サイトからシン・テレワークシステムのフルパッケージのインストーラをダウンロードしましょう。
インストーラを実行すると例のごとく言語設定画面が表示されますので選択してからOKで進みます。
そのままガイダンスが表示されたら”次へ”で進んでいきますが、一般ユーザー権限で実行した場合はユーザーアカウント制御(User Account Control:UAC)の画面が表示されます。
システム管理者であれば既にご存じのローカルAdminユーザとかドメインAdminユーザの情報を入力すれば管理者権限で進めることができますが、今回はそんなものは知らないエンドユーザが使うという前提で進めます。
エンドユーザーは管理者アカウントを知らないので”いいえ”ボタンをクリックして進めます。
※通常、いいえをクリックすると処理が終了するプログラムが多いですが、シン・テレワークシステムインストーラはそのまま一般ユーザーでのインストールが進行します。
そのまま進めるとセットアップモードの選択になります。今回は管理者権限を持たない”ユーザーモード”で進めていきます。
後の流れは管理者権限ありのインストールと同じです。規約に同意したりして進めていきましょう。
インストール途中に下記のようなメッセージが表示れます。
かなり重要なことが書いてありますが、実際にどのような影響が発生するかは後ほど解説します。
ここでは”キャンセル”をクリックしてそのままインストールを進めましょう。
後は初期設定です。初期設定の方法はこちらで解説していますので参考にしてください。
パスワードやコンピュータIDの設定など、一通り終わったらサーバー機能のインストールは終了です。
リモート接続する
とりあえず遠隔操作したいPCにサーバー機能のインストールができましたのでシン・テレワークシステムクライアントソフトを使ってリモート接続してみましょう。
接続に成功するとWindowsログイン画面はスキップしていきなりデスクトップが表示されます(ターゲットPCがロックやサインアウト状態では接続できません)。
また、接続と同時にこのような注意メッセージが表示されます。
この注意書きについても詳しくは後述しますが、とりあえずOKボタンを押せばターゲットPCを遠隔操作できるようになります。
なお、この時の接続は”共有機能無効版”と同じような機能を持ったソフトウェアが起動します。
フル機能が利用できるリモートデスクトップ接続とは違い、使える機能に制限があったり、画面転送のラグが発生しやすかったりという短所があります。
通信回線さえしっかりしていれば一般的な事務作業は問題なくこなせると思います。
利用上の注意点
さて、問題はここからです。先ほど表示された注意書きには次のような制限事項が書かれています。
(1) 高い特権レベルで動作するウインドウ (例: タスクマネージャ、デバイスマネージャ、一部のコントロールパネルなど) をリモート操作することはできません。これらのシステムツールを起動しないでください。
(2) 一度でも、高い特権レベルで動作するウインドウを起動してしまうと、一切の画面操作ができなくなります。この場合、現地に自ら急行するか、現地の他の方々に連絡するなどして、現地の PC を物理的に操作して、そのウインドウを閉じていただく必要があります。
(3) Windows の UAC (ユーザーアカウント制御) のポップアップ画面表示時の操作はできません。
(1)については当然と言えば当然です。管理者権限を持っていないユーザーでサーバー機能をインストールしていますので、管理者権限が必要なウィンドウはリモート操作できません。
ただし、元々通常業務は一般ユーザー権限で問題なく遂行できる状態であるはずですので、この制限が今回のシン・テレワークシステムを使う上で障害になることは無いのかなと思います。
最重要なのは(2)と(3)です。
(2)に”高い特権レベルで動作するウインドウを起動してしまうと、一切の画面操作ができなくなる”と書いてあります。
ここでいう”高い権限レベルで動作するウインドウ”とは何かというと、管理者権限が必要なソフトウェアです。
(1)に指定のあるタスクマネージャやデバイスマネージャなどはすべて該当しますし、何らかのEXEファイルでも管理者権限を要求するものは該当します。
そして難しいところは、それらのソフトウェアを起動してしまうと遠隔からは一切操作を受け付けなくなるというところです。
もしターゲットPCが置いてある会社の事務所に誰も出社していなかったらお手上げです。残念ながらその日の業務終了です。
ちなみにコマンドプロンプトを管理者権限で遠隔操作にて起動しようとすると、下記画像のように接続が切断されます。
その後、再度接続しようと試みても下記のメッセージが表示されて遠隔操作を接続することができない状態になってしまいます。
このとき、ターゲットPC側で何が起きているかというと、UACのプロンプトが表示された状態で停止しています。
この状態では新しい遠隔操作接続をするにはUACの画面を閉じる必要がありますが、いかんせん遠隔操作が受け付けない状態なのでUACの画面を閉じれない、というループにはまって遠隔操作できなくなるというものです。
対策
少し待ってから再接続
UACのプロンプトを表示させなければいいのですが、このプロンプトは意図せず開いてしまうこともあります。
そうなったときに毎回毎回、オフィスに出勤した人がUACを閉じ続けていると、規模によってはそれだけで日が暮れてしまいそうです。
それではとても不便ですので何とかしたいところですが、実はUACの画面は無操作である程度(数分ぐらい)経過すると自動で閉じられるようになっています。
ですので、もしうっかりミスでUACプロンプトを表示させてしまった場合は、慌てず騒がず数分待ってから再接続してみてください。
運よくUACが閉じられていた場合は、遠隔接続に成功して業務の継続ができます。
サーバー機能をインストールするときは管理者権限でインストールする
仮にサインインしているアカウントが一般ユーザー権限しか所有していなくとも、シン・テレワークシステムサーバー機能インストール時に管理者権限でインストールしてしまえば、今回のような制限事項は受けません。
インストール時にシステム管理者が実行する必要がありますが、シン・テレワークシステム展開台数によっては取りうる手段になるかと思います。
なお、シン・テレワークシステムの注意書きには”接続先の Windows のバージョンを Pro にアップグレードし、Windows 組み込みのリモートデスクトップサービス (RDP) を利用可能にします。”という解決法も記載されていましたが、私の検証環境ではなぜか再現できませんでした。。。
UACプロンプトを表示させない
UACプロンプトが表示されて止まるのなら、そもそもUACプロンプトを表示させなければいいじゃないかという、やや強引な方法です。
ただし、この設定方法も管理者権限が必要なグループポリシーエディタを使いますので情シスの負担はサーバー機能を管理者権限でインストールする場合と変わりません。
が、この設定はActiveDirectoryからグループポリシーで配信することができますので、AD環境導入済みの場合は情シスの負担が一気に軽くなります。
デメリットとしては本当に権限昇格が必要な時にプロンプトが表示されないので、その時にやや不便を強いられるところでしょうか。
なお、注意点ですがAD環境が無いからと言ってクライアントPCのローカルグループポリシーでこのポリシーを適用するのは強くお勧めしません。
理由としては、もし適用してしまうとUACプロンプトが開かなくなり、設定を解除しようにもグループポリシーエディタが開かなくなり簡単には戻せなくなってしまいます。
一度管理者権限のあるローカルユーザーでサインインしなおせば解除できますが、それなりの時間がかかってしまうので設定するのはやめておきましょう。
AD環境での設定は次のように行います(ここではグループポリシーの適用方法については省略しています)。
グループポリシーエディタを開き、コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー>セキュリティオプションと進み、”ユーザーアカウント制御:標準ユーザーに対する昇格時のプロンプトの動作”をダブルクリックします。
ポリシーの設定を定義するにチェックを入れ、設定内容を”昇格の要求を自動的に拒否する”に変更してOKします。
このポリシーが適用されたPCで何らかの管理者権限を取得しようとすると、下記画像のように拒否メッセージが表示されます。
この状態だとシン・テレワークシステムの遠隔操作は途切れずに続行可能なので、誤操作でUACを開こうとしてしまってもそのまま業務遂行することができます。
まとめ
情シスの作業時間として許されるのであれば、やはりサーバー機能をインストールするときだけ管理者権限でインストールするのがベストです。
しかしながら導入対象台数が情シスの人数に比べてあまりにも多すぎる場合は現実的ではないかもしれません。
難しい場合は対症療法的ではありますがUACをうっかり表示してしまったら待つ戦法になるでしょう。
AD環境導入済みの場合はグループポリシーでUACプロンプトの表示をとめてしまうのが手っ取り早く情シス負荷は最も少ないでしょう。
ただし、他のシステム運用に支障をきたさないかどうかはしっかりと確認しておくことが大切です。
次回はシン・テレワークシステムのネットワーク通信量についての実験です。
目次はこちら